CVE-2025-49879 描述了 Litho WordPress 主题中的路径遍历漏洞。该漏洞允许未经授权的用户通过构造恶意请求访问服务器上的任意文件,可能导致敏感信息泄露或系统被篡改。此漏洞影响 Litho 主题的 0.0.0 至 3.0 版本,建议用户尽快升级到 3.0.1 版本以解决此问题。
攻击者可以利用此路径遍历漏洞读取服务器上的任何文件,包括配置文件、数据库备份、源代码等。如果攻击者能够访问包含敏感信息的配置文件,例如数据库密码或 API 密钥,他们可能能够完全控制服务器或访问其他系统。此外,攻击者还可以利用此漏洞修改或删除服务器上的文件,导致网站无法正常运行或数据丢失。由于 Litho 主题广泛使用,该漏洞可能影响大量 WordPress 网站,造成广泛的安全风险。
目前尚未公开发现针对此漏洞的公开利用代码 (PoC),但由于路径遍历漏洞的普遍性,存在被利用的风险。该漏洞已在 2025 年 6 月 17 日公开披露,建议用户尽快采取措施进行修复。CISA 尚未将其添加到 KEV 目录。
WordPress websites using the themezaa Litho theme, particularly those running versions 0.0.0 through 3.0, are at risk. Shared hosting environments where users have limited control over theme updates are especially vulnerable. Sites with sensitive data stored on the server are at higher risk of compromise.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/themes/litho/*• generic web:
curl -I 'http://example.com/wp-content/themes/litho/../../../../etc/passwd'disclosure
漏洞利用状态
EPSS
0.10% (26% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Litho WordPress 主题升级到 3.0.1 版本或更高版本。如果无法立即升级,可以尝试限制主题的访问权限,例如将主题文件移动到更安全的目录。此外,可以配置 Web 应用防火墙 (WAF) 或代理服务器,以阻止包含恶意路径的请求。监控 WordPress 网站的访问日志,查找可疑的路径遍历尝试,并及时采取措施。
Actualice el tema Litho a una versión corregida. Verifique el sitio web del desarrollador o el repositorio de WordPress para obtener la última versión disponible. Como no se especifica una versión corregida en el CVE, contacte al desarrollador para obtener más información.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-49879 是一个路径遍历漏洞,影响 Litho WordPress 主题的 0.0.0 至 3.0 版本。攻击者可以利用此漏洞读取服务器上的任意文件。
如果您正在使用 Litho WordPress 主题的版本低于 3.0.1,则您可能受到此漏洞的影响。请立即检查您的主题版本。
最简单的修复方法是将 Litho WordPress 主题升级到 3.0.1 或更高版本。
目前尚未公开发现针对此漏洞的公开利用代码,但存在被利用的风险。
请访问 Litho 主题的官方网站或 WordPress 插件目录,查找有关此漏洞的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。